Las YubiKeys son una de las mejores formas de proteger su vida en línea. Ampliamente adoptadas por empresas y consumidores desde su lanzamiento a fines de los años noventa, estos tokens de hardware pueden ayudar a eliminar la autenticación de dos factores (2FA) de su vulnerable teléfono móvil, al mismo tiempo que ofrecen la tranquilidad que brinda una llave física. Pero el soporte para YubiKeys no es omnipresente y, si bien muchas aplicaciones y sitios web importantes ofrecen soporte para FIDO YubiKey, no todos lo hacen. Afortunadamente, existe otra forma de utilizarlas.

Cómo utilizar tu YubiKey para códigos TOTP

Los códigos TOTP normalmente son códigos de barras o códigos QR que se escanean

Imagen de un yubikey sobre una mesa.
Fuente: Unsplash

Es posible que no sepas que puedes usar tu YubiKey para códigos TOTP, y no te culparía por ello. Es fácil preguntarse cómo diablos puedes obtener uncódigo QRen una YubiKey. Esos códigos QR que ves son en realidad solo un secreto codificado, que se usa como valor en un algoritmo que genera una secuencia de claves. Esta secuencia se basa en el tiempo y te brinda la información que necesitas para cambiar los códigos de autenticación cada 30 segundos en una aplicación como Authy o Google Authenticator. Esto se conoce como OATH-TOTP.

Su YubiKey es compatible con esto, y todo lo que tenemos que hacer es extraer ese valor secreto y cargarlo en su YubiKey para usarlo más adelante. Luego, puede usar su YubiKey para generar estos tokens a pedido y, además, requerir un toque físico del hardware para evitar que un dispositivo comprometido filtre sus códigos TOTP.

Lamentablemente, no todas las YubiKeys admiten la carga de códigos OATH-TOTP, por lo que deberá verificar la compatibilidad de su clave enel sitio web de YubiKey.

¿Qué sitios web admiten OATH-TOTP?

La mayoría de las 2FA habituales que no dependen del correo electrónico ni de los mensajes de texto para obtener un código utilizan TOTP. Te pedirán que descargues una aplicación personalizada (como Facebook, Google Authenticator o Microsoft Authenticator) o que utilices una aplicación TOTP genérica de dos factores (como Authy) para escanear un código QR. Algunas de estas aplicaciones exponen directamente los datos contenidos en el código QR, lo que te proporciona una cadena de caracteres para pegar en tu aplicación si no puedes escanear el código, pero otras no lo hacen.

Configura tu YubiKey para códigos TOTP

Hoy realizaremos este proceso en macOS, pero el proceso es muy similar en Windows. Necesitarás tener una YubiKey compatible y la aplicaciónYubico Authenticatordescargada. Ten en cuenta que también hay versiones móviles para YubiKeys compatibles que usan Lightning o USB-C. La versión móvil sería diferente de la aplicación YubiKey Manager que hemos usado antes para configurarel inicio de sesión en tu escritorio con tu YubiKey.

Siga los pasos a continuación para configurar los códigos TOTP en su YubiKey.

  1. Descargue YubiKey Authenticator para su plataforma desde el sitio web de YubiKey. También puede instalarlo a través de la tienda de aplicaciones de macOS o Windows, o de la tienda de aplicaciones de su dispositivo móvil.
    Autenticador Yubico
    Fuente: Yubico
  2. Una vez descargado, abra YubiKey Authenticator y conecte su YubiKey.
    Configuración de Yubikey-totp
  3. En la barra lateral, seleccioneCuentasseguido deAgregar cuenta.
    Captura de pantalla que muestra dónde agregar una cuenta a su Autenticador Yubico.
    Fuente: Yubico
  4. Luego se te preguntará si deseas escanear un código QR o agregar una clave manualmente. Si estás usando un dispositivo móvil, puedes escanear un código QR. También puedes pegar el código manualmente.
    Configuración de Yubikey-totp
    Yubico Authenticator tiene un truco genial para los usuarios de macOS y Windows. Si tu código QR está visible en la pantalla de tu computadora, puedes presionarEscanear código QRy lo leerá desde tu pantalla. Alternativamente, puedes guardar tu código en un archivo (o hacer una captura de pantalla) y arrastrar la imagen a la ventana. Ambos métodos funcionaron muy bien para mí en macOS.
  5. Se le solicitará que confirme algunos detalles. Si ingresa un código manualmente, se le solicitará que proporcione el emisor y el nombre de la cuenta. Estos datos no afectarán el funcionamiento de su código QR.
    Autenticador Yubio 3
  6. También te sugerimos que marques la opciónRequerir contactoen este punto, para mayor seguridad. Una vez hecho esto, presionaGuardar.
    Captura de pantalla que resalta el elemento que requiere contacto de TOTP.
  7. Ahora tu cuenta estará visible en tu lista de cuentas. Selecciona tu cuenta y pulsaCalcularpara generar un nuevo código.
    Yubico-totp
  8. Se le pedirá que toque su YubiKey para la autenticación.
    Yubico-toque
  9. Aparecerá una clave con límite de tiempo. Introdúzcala en su aplicación para validar su token y guardar su clave TOTP.
    Yubico-TOTP-2

Su YubiKey tiene un límite en la cantidad de cuentas que puede registrar. Por ejemplo, la YubiKey 5 está limitada a 32, por lo que puede ser algo que deba tener en cuenta si ve un error de "No hay espacio disponible". Además, puede registrar hasta 25 claves de acceso de hardware FIDO2.

¿Es más seguro almacenar sus códigos TOTP en su YubiKey?

Almacenar los códigos TOTP en la YubiKey tiene un importante beneficio en términos de seguridad, especialmente cuandose requiere el contactoal configurar cosas. Al requerir el contacto, la YubiKey protege los códigos TOTP contra una máquina comprometida, a diferencia de las aplicaciones de autenticación convencionales que renuncian al segundo factor si el dispositivo host está comprometido. Por ejemplo, si estuviera usando Authy localmente en su computadora portátil y un atacante pudiera comprometer su máquina, podría comprometer aún más cualquier cuenta protegida con dos factores robando su contraseña y usando su Authy local para generar códigos TOTP. Esto sería imposible con una YubiKey que requiera contacto, ya que el atacante no podría generar físicamente un toque para activar la YubiKey.

Este escenario puede parecer poco probable, pero si eres un profesional en ciertas industrias de alto riesgo, los peligros pueden ser muy reales. Una vulneración similar en la máquina de un empleado provocó unavulneración de LastPassel año pasado.

Yubico Authenticator tiene un excelente soporte móvil

Una de las ventajas de tener una YubiKey es que muchas de ellas son compatibles con dispositivos móviles. Si tienes una llave Lightning o USB-C (o incluso un dispositivo), puedes descargar Yubico Authenticator para tu dispositivo móvil y almacenar allí los códigos TOTP. Esto es genial para proteger tus cuentas esenciales y hay muchos modelos de YubiKey que encajan bien en un llavero, pero pone de manifiesto algunos riesgos de usar una YubiKey.

Imagen de una Yubikey
Relacionado
Aquí tienes cinco fantásticos usos para tu YubiKey

¿Está pensando en mejorar su seguridad con una YubiKey? Aquí le mostramos cómo aprovecharla al máximo.

Yubico Authenticator es genial, ¡pero guarda tus códigos de respaldo!

Yubico Authenticator es genial y supone una mejora tangible en la seguridad. También te permite usar de forma segura tu dispositivo principal como segundo factor, sin preocuparte por una vulnerabilidad que podría exponer potencialmente todos tus códigos TOTP. Sin embargo, hay algunos peligros que debes tener en cuenta. Es esencial que guardes los códigos de respaldo y recuperación para tu Authenticator, porque si pierdes o rompes una YubiKey, no hay forma de recuperar esos códigos. De manera similar, es importante asegurar que la seguridad del dispositivo que usa tu YubiKey esté bien protegida. Asegúrate de que tu computadora que ejecuta Yubico Authenticator tenga una contraseña segura y, opcionalmente, establece una contraseña o un código de acceso en cada uno de tus códigos TOTP para mayor seguridad.

Las YubiKeys son una gran incorporación a su estrategia de seguridad y pueden ser una inversión relativamente económica que recomendamos a todo el mundo. Solo asegúrese de estar preparado para lo peor y de tener copias de seguridad de sus códigos TOTP y códigos de recuperación en un lugar seguro y accesible.